Projet emblématique de l’open source et outil quasi omniprésent sur les postes Windows des développeurs, Notepad++ a récemment été la cible d’un incident de sécurité sérieux, impliquant une tentative de détournement de son site officiel. Sans compromission du code ni diffusion de versions malveillantes, l’événement met néanmoins en lumière une réalité que même les projets les plus respectés ne peuvent plus ignorer : l’open source est devenu une cible stratégique pour les attaquants.Notepad++ est principalement développé et géré par une seule personne, Don Ho, qui en est le créateur et le mainteneur principal depuis le début du projet. Bien qu'il s'agisse d'un logiciel libre (open source), Don Ho centralise les décisions et l'avancement du développement.
Dans sa communication officielle, Don Ho détaille une tentative de prise de contrôle de certains éléments de son infrastructure web. L’attaque visait principalement la chaîne de diffusion de l’information, autrement dit le site officiel utilisé par des millions d’utilisateurs pour télécharger le logiciel et suivre les annonces du projet. Le terme de « hijacking » n’est pas choisi au hasard : l’objectif apparent était bien de détourner la confiance accordée à la plateforme plutôt que d’attaquer directement le code source.
Ce point est essentiel pour comprendre la gravité potentielle de l’incident. Dans l’écosystème logiciel actuel, compromettre un site officiel peut suffire à diffuser des binaires piégés, des liens frauduleux ou des messages trompeurs, sans jamais toucher au dépôt Git ni aux processus de build. Autrement dit, l’attaque de la vitrine peut être aussi dangereuse que celle de l’atelier.
Ce qui a été touché, et ce qui ne l’a pas été
Don Ho insiste sur un élément rassurant : aucune version du logiciel n’a été compromise, aucun code malveillant n’a été injecté dans les binaires distribués, et les mécanismes de signature n’ont pas été altérés. Les dépôts, les releases et la chaîne de compilation sont restés intacts.
En revanche, l’incident révèle des failles potentielles dans la gestion des services annexes, souvent moins surveillés que le cœur du projet. Hébergement web, comptes d’administration, fournisseurs tiers, DNS ou outils de publication constituent aujourd’hui des points d’entrée privilégiés. Ce sont précisément ces zones grises, parfois considérées comme secondaires, qui attirent les attaquants lorsqu’un projet bénéficie d’une forte notoriété.
« Suite à la divulgation de la faille de sécurité publiée dans l'annonce de la version 8.8.9, l'enquête s'est poursuivie en collaboration avec des experts externes et avec la pleine participation de mon (désormais ancien) fournisseur d'hébergement mutualisé.
« Selon l'analyse fournie par les experts en sécurité, l'attaque a impliqué une compromission au niveau de l'infrastructure qui a permis à des acteurs malveillants d'intercepter et de rediriger le trafic de mise à jour destiné à notepad-plus-plus.org. Le mécanisme technique exact fait toujours l'objet d'une enquête, mais la compromission s'est produite au niveau du fournisseur d'hébergement plutôt que par le biais de vulnérabilités dans le code Notepad++ lui-même. Le trafic provenant de certains utilisateurs ciblés a été redirigé de manière sélective vers des manifestes de mise à jour malveillants contrôlés par les attaquants.
« L'incident a débuté en juin 2025. Plusieurs chercheurs en sécurité indépendants ont estimé que l'auteur de la menace était probablement un groupe soutenu par l'État chinois, ce qui expliquerait le ciblage très sélectif observé pendant la campagne.
« Un plan d'intervention en cas d'incident (IR) a été proposé par l'expert en sécurité, et j'ai facilité la communication directe entre l'hébergeur et l'équipe IR. »
L’open source, une cible à forte valeur symbolique et opérationnelle
Pourquoi s’attaquer à un projet comme Notepad++ ? La réponse dépasse largement le simple cadre technique. Avec des millions d’utilisateurs, une image de confiance solide et une diffusion massive en entreprise comme chez les particuliers, Notepad++ représente une cible idéale pour des attaques à grande échelle. Un détournement réussi aurait pu avoir un impact en cascade, allant...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.